înregistrare Logare
Puncte:0
friendly joe avatar Server

De ce unele grupuri sunt în „grupuri” și altele în „încorporate”?

drapel in
friendly joe

pot muta toate grupurile (și utilizatorii) implicite în â încorporat? care este motivul pentru a avea unele dintre ele în folderul grupuri/utilizatori. de exemplu: âAllowed RODC Password Replication Groupâ.

44
0 + 0
Puncte:1
avatar Server
drapel cn
Greg Askew

Containerul încorporat este containerul implicit pentru grupurile de securitate care sunt prefixate cu SID-ul de domeniu încorporat S-1-5-32. SID-urile pentru un anumit principal de securitate încorporat sunt aceleași pe fiecare sistem Windows și nu conține SID-ul domeniului.

Containerul Utilizatori este containerul implicit pentru utilizatori și grupuri care nu sunt încorporate.

Nu există niciun motiv pentru a muta obiecte în sau din containerul încorporat.

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/security-identifiers

„SID-urile pentru conturile și grupurile încorporate au întotdeauna aceeași valoare de identificare a domeniului: 32. Această valoare identifică domeniul Builtin, care există pe fiecare computer care rulează o versiune a sistemului de operare Windows Server. Nu este niciodată necesar să distingem unul. conturile și grupurile încorporate ale computerului din conturile și grupurile încorporate ale altui computer, deoarece acestea sunt locale în domeniu."

0 + 0
friendly joe avatar
drapel in
friendly joe
dar există un motiv pentru care grupul „Allowed RODC Password Replication Group” nu se află în acest container „încorporat”? și este posibil să-l muți din „grupuri” -> „încorporat” fără probleme?
0
Răspunde
drapel cn
Greg Askew
@friendlyjoe: verificați SID-ul, nu este un SID încorporat (32), este un SID de domeniu (21). Nu cred că ar fi o problemă, dar nu există prea multe informații pentru că nimeni nu face asta.
0
Răspunde
friendly joe avatar
drapel in
friendly joe
stiu ca nu prea sunt informatii.. altfel nu as intreba. că SID-ul este diferit pe buitlin și utilizatorii de domeniu sunt, de asemenea, în regulă.. dar nu răspunde cu adevărat la întrebare. Am nevoie de o modalitate de a face posibilă închirierea multiplă în sistemul meu IAM.. dar nu pot să interzic accesul la citire utilizatorilor/grupurilor, deoarece atunci nu va mai funcționa.
0
Răspunde
drapel cn
Greg Askew
@friendlyjoe: acesta este ceva care ar dura 10 minute pentru a testa.
0
Răspunde
friendly joe avatar
drapel in
friendly joe
Îl testez rn și se pare că funcționează (am creat un container suplimentar pentru ei). dar mă tem că ar putea exista o problemă în viitor din cauza ei.
0
Răspunde
Puncte:0
Semicolon avatar Server
drapel jo
Semicolon

Grupurile BUILTIN sunt grupurile locale originale ale primului controler de domeniu din pădure (de aceea „32” este în SID). În timp ce toate grupurile sunt într-un fel locale pentru controlerele de domeniu, veți descoperi că aceste grupuri sunt în esență grupurile locale „partajate” ale controlorilor de domeniu. De-a lungul anilor, au fost adăugate mai multe dintre aceste grupuri specifice controlerului de domeniu (cum ar fi „Grupul de replicare a parolelor RODC permis”)

Exemple:

  • adăugarea unui utilizator la grupul BUILTIN\Remote Desktop Users acordă acces RDP la controlerele de domeniu
  • adăugarea unui utilizator la grupul de utilizatori Remote management conferă WinRM acces la controlere de domeniu
  • Operatori de imprimare? Asta înseamnă gestionarea imprimantelor pe controlere de domeniu (ceea ce nu ar trebui să faci niciodată).

Acesta este cel mai ușor mod de a înțelege. Cel mai bun mod de a le gândi - în general, nu ar trebui să folosiți aceste grupuri pentru nimic altceva.

În ceea ce privește dacă pot fi mutate sau nu? În general, las grupurile BUILTIN în pace, dar dacă sunteți cu adevărat dornici să curățați, consultați acest document care detalii pentru dvs. care pot, nu pot fi mutate. Țineți cont de această referință:

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-director...

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.